Postanowienia ogólne

Niniejsza Polityka Prywatności (zwana dalej „Polityką Prywatności") określa sposób zbierania, przetwarzania i przechowywania Danych osobowych koniecznych do realizacji usług świadczonych za pośrednictwem aplikacji PestRaport (zwanej dalej „Aplikacją") udostępnianej przez Dominik Pałatyński Cloud Solutions (D&P Cloud Solutions).

Administratorem Danych osobowych jest:

Użytkownikiem jest każdy podmiot korzystający z usług świadczonych za pośrednictwem Aplikacji.

W odniesieniu do danych osobowych Klientów końcowych (np. właścicieli obiektów objętych usługami DDD), Administrator przetwarza je na podstawie umowy powierzenia zawartej z firmami korzystającymi z Aplikacji, działając jako podmiot przetwarzający („Procesor") w rozumieniu RODO.

Niniejszym Użytkownik akceptuje zasady zawarte w Polityce Prywatności i w Regulaminie.

Korzystanie z Aplikacji, w tym zawarcie umowy o korystanie z PestRaport, jest dobrowolne. Podobnie związane z tym podanie danych osobowych przez Użytkownika jest dobrowolne, z zastrzeżeniem przypadków niezbędnych do zawarcia i wykonania umowy oraz wypełnienia obowiązków prawnych Administratora.

Zakres i cel przetwarzania danych

Kategorie przetwarzanych danych:

Przetwarzane dane mogą obejmować:

Dane kontaktowe:

• Imię i nazwisko
• Adres e-mail
• Numer telefonu
• Dane firmy (nazwa, NIP, REGON)
• Adres siedziby firmy

Dane techniczne:

• Dane dotyczące korzystania z Aplikacji
• Adres IP, typ urządzenia, przeglądarka
• Logi systemowe i dane sesji
• Dane rate limiting (adresy IP, identyfikatory użytkowników)
• Dane o częstotliwości korzystania z API

Dane dotyczące działalności:

• Dane Placówek (lokalizacje klientów)
• Informacje o Pułapkach i kodach QR
• Dane z przeprowadzonych Inspekcji
• Wygenerowane raporty i statystyki

Dane Klientów końcowych

• Dane kontaktowe właścicieli obiektów
• Informacje o miejscach świadczenia usług DDD
• Historia inspekcji i serwisów

Podstawy prawne przetwarzania

Administrator przetwarza dane osobowe na następujących podstawach prawnych:

Okres przechowywania danych:

Dane są przechowywane przez okres wskazany przez firmę będącą administratorem tych danych, nie dłużej niż wymagają tego cele usług.

Dostawcy usług technicznych:

• Supabase - baza danych i backend services (Supabase Inc., serwery europejskie)
• OVH - hosting serwerów VPS (OVH SAS, Francja)
• Stripe - obsługa płatności (Stripe Payments Europe Ltd., Irlandia)
• Resend - usługi e-mail transakcyjne (Resend Inc., USA)
• Upstash - cache, sesje i rate limiting (Upstash Inc., serwery europejskie)

Dostawcy usług biznesowych:

• Biuro księgowe - przetwarzanie danych na fakturach
• Kancelaria prawna - w zakresie świadczenia usług prawnych
• Dostawcy usług marketingowych</strong> (wyłącznie w zakresie objętym zgodą)

Organy publiczne:

• W przypadkach przewidzianych prawem (np. organy podatkowe, organy ścigania)
• Wszystkie podmioty, którym powierzono przetwarzanie danych zapewniają odpowiednie środki bezpieczeństwa zgodnie z RODO

Okres przechowywania danych:

Dane Użytkowników Aplikacji:

• Dane Użytkowników Aplikacji są przechowywane przez okres obowiązywania umowy. Po zakończeniu umowy, dane przechowywane są przez okresy wskazane w tabeli w sekcji 'Podstawy prawne przetwarzania'.

Dane Klientów końcowych:

• Dane Klientów końcowych są przechowywane przez okres wskazany przez firmę będącą administratorem tych danych, nie dłużej niż wymagają tego cele usług.

Dane przetwarzane na podstawie zgody:

• Dane przetwarzane na podstawie zgody przechowywane są do czasu jej wycofania.

Po rezygnacji z usługi:

• Dane są usuwane w ciągu 30 dni roboczych
• Na żądanie Użytkownika dane mogą być udostępnione w powszechnie używanym formacie elektronicznym przed usunięciem

Prawa osób, których dotyczą dane osobowe:

Osobom, których dane dotyczą, przysługują następujące prawa:

Prawo dostępu do danych

• Możliwość uzyskania informacji o przetwarzanych danych
• Dostęp do kopii swoich danych osobowych

Prawo do sprostowania danych

• Możliwość poprawy nieprawidłowych lub niepełnych danych
• Aktualizacja danych przez interfejs Aplikacji

Prawo do usunięcia danych ("prawo do bycia zapomnianym")

• Żądanie usunięcia danych w określonych przypadkach
• Automatyczne usunięcie po rezygnacji z usług

Prawo do ograniczenia przetwarzania

• Możliwość żądania ograniczenia przetwarzania w określonych przypadkach

Prawo do przenoszenia danych

• Otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie
• Możliwość przesłania danych innemu administratorowi

Prawo do sprzeciwu

• Sprzeciw wobec przetwarzania w celach marketingowych
• Sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu

Prawo do cofnięcia zgody

• Cofnięcie zgody w dowolnym momencie bez wpływu na zgodność z prawem dotychczasowego przetwarzania

Ochrona danych dzieci

• Aplikacja nie jest przeznaczona dla osób poniżej 16. roku życia
• Brak świadomego zbierania danych dzieci bez zgody rodziców/opiekunów
• Procedura usuwania - jeśli dowiemy się o przetwarzaniu danych dziecka bez zgody, niezwłocznie je usuniemy

Prawo do skargi

• Możliwość złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych

Specyfika przetwarzania w branży DDD

Powierzenie przetwarzania danych Klientów końcowych

Użytkownik jako Administrator danych - firmy korzystające z PestRaport są administratorami danych swoich klientów końcowych

PestRaport jako Procesor - Administrator aplikacji przetwarza dane klientów końcowych wyłącznie na zlecenie Użytkownika

Umowa powierzenia - szczegółowe warunki reguluje odrębna umowa DPA (Data Processing Agreement)

Bezpieczeństwo danych osobowych

Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych, w tym:

Środki techniczne

• Szyfrowanie danych podczas przesyłania (TLS/SSL) i przechowywania
• Baza danych Supabase - automatyczne kopie zapasowe przez dostawcę
• Hosting OVH - zabezpieczenia infrastruktury, firewalle, monitoring
• Kontrola dostępu - autoryzacja i uwierzytelnianie użytkowników
• Monitoring Sentry - wykrywanie błędów i anomalii bezpieczeństwa
• Redundancja danych - replikacja na poziomie dostawców usług

Środki organizacyjne

• Szkolenia personelu w zakresie ochrony danych
• Procedury bezpieczeństwa dla obsługi danych osobowych
• Ograniczony dostęp - dostęp mają tylko upoważnione osoby
• Procedury zgłaszania naruszeń bezpieczeństwa danych

Procedury w przypadku naruszenia danych

W przypadku naruszenia ochrony danych osobowych

• Zgłoszenie do UODO - w ciągu 72 godzin od wykrycia
• Powiadomienie użytkowników - jeśli naruszenie stwarza wysokie ryzyko
• Działania naprawcze - natychmiastowe usunięcie zagrożenia
• Dokumentacja incydentu - pełna ewidencja naruszeń

Zgłaszanie podejrzeń przez użytkowników

Zalecenia dla Użytkowników

• Używanie silnych haseł
• Regularne aktualizowanie hasła
• Zabezpieczenie dostępu do urządzeń
• Zgłaszanie podejrzeń: [email protected]

Pliki Cookies

Czym są pliki Cookies

Cookies to niewielkie pliki tekstowe przechowywane na urządzeniu Użytkownika, które umożliwiają rozpoznanie urządzenia przy kolejnych odwiedzinach.

Rodzaje stosowanych plików Cookies:

Cookies niezbędne

• Utrzymanie sesji zalogowanego użytkownika
• Autoryzacja i uwierzytelnianie
• Zabezpieczenie przed atakami (CSRF)
• Podstawowe funkcjonowanie aplikacji

Cookies funkcjonalne

• Zapisywanie preferencji użytkownika
• Ustawienia interfejsu
• Personalizacja aplikacji

Cookies analityczne

• Obecnie nieużywane

Cookies marketingowe

• Obecnie nieużywane

Zarządzanie plikami Cookies:

Informacja o zgodzie

• Cookies niezbędne - nie wymagają zgody użytkownika
• Brak cookie banner - aplikacja używa wyłącznie cookies niezbędnych

Użytkownik może zarządzać cookies przez

• Ustawienia przeglądarki - blokowanie lub usuwanie cookies
• Wylogowanie z aplikacji - usunięcie cookies sesji

Czas przechowywania cookies

• Niezbędne: do wylogowania lub wygaśnięcia sesji
• Funkcjonalne: do 12 miesięcy
• Analityczne/marketingowe: obecnie nieużywane

Transfery międzynarodowe:

Lokalizacja danych

• Główna baza danych - Supabase (serwery w Europie)
• Hosting aplikacji - OVH VPS (Francja, EOG)
• Monitoring - Sentry (USA, standardowe klauzule umowne)

Dostawcy spoza EOG - w przypadku korystania z usług dostawców spoza EOG, transfer odbywa się na podstawie

• Supabase - serwery europejskie, dane pozostają w EOG
• Resend - transfer do USA na podstawie standardowych klauzul umownych
• Sentry - transfer do USA na podstawie standardowych klauzul umownych
• Stripe - Stripe Payments Europe Ltd. (Irlandia, EOG) - dane płatności przetwarzane w EOG

Decyzji o adekwatności Komisji Europejskiej, standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub innych odpowiednich zabezpieczeń zgodnych z RODO zapewniają odpowiedni poziom ochrony danych osobowych.

Zmiany Polityki Prywatności:

Administrator zastrzega sobie prawo do wprowadzenia zmian w niniejszej Polityce Prywatności.

Powiadomienie o zmianach następuje przez

• Publikację nowej wersji w Aplikacji
• Wysłanie powiadomienia e-mail do zarejestrowanych Użytkowników
• Komunikat na stronie internetowej

Termin wejścia w życie - zmiany wchodzą w życie po upływie 14 dni od powiadomienia, chyba że

• Zmiany wynikają z przepisów prawa
• Zmiany są korzystne dla Użytkowników
• Zmiany mają charakter techniczny

Kontynuowanie korzystania z Aplikacji po wejściu w życie zmian oznacza akceptację nowej Polityki Prywatności.

Postanowienia końcowe:

Związek z Regulaminem

• Polityka Prywatności stanowi integralną część Regulaminu Aplikacji.

Język urzędowy

• w przypadku rozbieżności między wersjami językowymi, wersja polska jest wiążąca.

Prawo właściwe

• do Polityki Prywatności stosuje się prawo polskie, w szczególności RODO i ustawę o ochronie danych osobowych.

Rozstrzyganie sporów

• spory związane z ochroną danych osobowych rozstrzygane są przez sądy polskie właściwe dla siedziby Administratora.